32 
Wat is het nut van een firewall? 


Heb je thuis een internetverbinding? Dat betekent dat je computer onrechtstreeks in verbinding 
staat met miljoenen anderen. Spijtig genoeg heeft niet iedereen even goede bedoelingen. Om 
je pc tegen allerlei onheil te beschermen, installeer je maar beter een firewall. Zo’n firewall is 


dan ook het onderwerp van deze ‘Hoe werkt’. 


et woord firewall verwijst naar de vuur- 
vaste begrenzing die aangebracht 
wordt tussen twee structuren om te 
voorkomen dat het vuur overslaat. Een fire- 
wall op je computer moet vermijden dat irri- 
tante zaakjes zoals virussen of mailbommen 
zich van het internet op jouw pc nestelen. An- 
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Een firewall bestaat op software- 
en hardware-niveau 
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ders gezegd, een firewall verhindert ongeauto- 
riseerde toegang van óf naar een privé-net- 
werk. Dat wil zeggen dat ook uitgaand verkeer 
tegengehouden kan worden. Als je bedrijf van 
mening is dat het bezoeken van de website 
[ www.sexygirls.com | niet tot het takenpak- 
ket van jouw functie behoort, kan de firewall 
ervoor zorgen dat jij geen toegang krijgt tot 
die website. Een goed personeelsbeleid zou 
wellicht een betere oplossing zijn, maar je be- 
grijpt wat we bedoelen. Een firewall kan je op 


© Een firewall is een controlerende buffer 


tussen interne en externe netwerken. 


De meeste firewalls zorgen ervoor dat het 
interne netwerk verborgen blijft. 


Ì l0oio Q ú 
Ooo: 
100, 
Ì 


CLICKX MAGAZINE 37 - 25 MAART 2003 


twee manieren instellen: ofwel wordt geen en- 
kel verkeer doorgelaten behalve het verkeer 
dat jij als veilig gemarkeerd hebt, ofwel wordt 
alles doorgelaten behalve het verkeer dat jij 
als onveilig beschouwt. Het spreekt voor zich 
dat de eerste methode de veiligste is. Voor be- 
drijven is een firewall een erg efficiente ma- 
nier om het interne netwerk te beveiligen. In 
de praktijk is het immers doorgaans zo dat al 
het internetverkeer via een centrale gateway 
of router verloopt. Een router is een gewone 
pc, met als kenmerk dat die computer het eni- 
ge verbindingspunt tussen het (veilige) privé- 
of bedrijfsnetwerk en de (onveilige) buiten- 
wereld of het internet is. Als het bedrijf er ver- 
volgens in slaagt die router goed te beveiligen, 
is dat heel wat eenvoudiger dan alle compu- 
ters afzonderlijk te moeten beschermen. Wat 
een firewall niet doet, is het beschermen van 
computers tegen de werknemers zelf. Wat be- 
doelen we daar mee? Wel, de firewall mag dan 
nog perfect functioneren, als een gefrustreerde 
werknemer al je bedrijfsgeheimen via een te- 
lefoontje naar de concurrentie doorsluist, is 
je firewall een maat voor niets. Een mooie me- 
tafoor: het is zinloos om je tuinhuisje te voor- 
zien van een metalen deur. Je zou kunnen 
stellen dat confidentiële informatie nooit be- 
waard mag worden op een computer die op 
een of andere manier met het internet ver- 
bonden is. Dit is vandaag de dag echter niet 
altijd even eenvoudig te verwezenlijken. Er 
zijn natuurlijk ook gradaties van vertrouwe- 
lijkheid. Overheidsgeheimen moeten nog al- 
tijd beter bewaard worden dan je persoonlij- 
ke mailbox. 


Misbruik 


Wat is nu precies het nut van een firewall voor 
jou, de thuisgebruiker? Wel, het is toch niet 
leuk om te merken dat een onbekende lustig 
doorheen de documenten op je harde schijf 
bladert? Je hebt toch wel gegevens staan die 
je liever voor jezelf houdt? Heb je deelgeno- 
men aan één van de voorbije edities van Big 
Brother en geef je eigenlijk geen barst om je 
privacy? Bedenk dan dat er nog andere vor- 
men van misbruik bestaan. Zo is er het zoge- 
naamde IP-spoofing, waarbij een hacker jouw 
computer gebruikt om elders een inbraak te 
plegen. Wanneer men vervolgens de inbreker 
probeert te achterhalen, komt men doodleuk 


bij jou terecht. Nog een reden om een firewall 
te installeren? Er zijn programma’s die al je 
acties kunnen registreren (loggen). Elke toets 
die je intikt wordt in een tekstbestandje be- 
waard. Stel dat je on line een boek gekocht 
hebt. Dan bevindt jouw VISA-nummer zich 
in dat bestandje. Voor de hacker is het een 
koud kunstje om aan de hand van dat tekst- 
bestandje het nummer van je kaart te achter- 
halen en vervolgens je bankrekening te plun- 
deren. Dit is weliswaar een worst-case-scena- 
rio, maar een firewall is dus heus niet alleen 
iets voor computerfreaks… 


Je eigen nummer 


Vooraleer we verder gaan is het noodzakelijk 
dat je wat inzicht verwerft in de werking van 
een netwerk. Meer bepaald: hoe weten twee 
afzonderlijke computers elkaar te vinden, te- 
midden van duizenden andere pc's? In een 
straat onderscheiden we huizen van elkaar 
dankzij de huisnummers. Op het internet 
identificeren we een computer aan de hand 
van zijn IP-nummer. IP staat voor Internet 
Protocol, en wijst elke computer software- 
matig een uniek adres toe. Een gegevens- 
stroom die via het internet verstuurd wordt, 
bevat het IP-adres van zowel de ontvanger als 
de verzender. Op die manier kunnen com- 
puters met elkaar communiceren. Een IP- 
adres bestaat uit vier keer acht bits. Elke bit 
stelt een nul of een één voor, dus kan je met 
acht bits 256 verschillende waarden voorstel- 
len. Alle IP-adressen liggen dus tussen o.0.0.0 
en 255.255.255.255. Een IP-adres bestaat uit 
twee delen: een prefix en een suffix. Het pre- 
fix van het adres geeft aan met welk fysiek net- 
werk de computer is verbonden, terwijl de suf- 
fix de individuele computer binnenin dat net- 
werk aanwijst. Dat is belangrijk, omdat op die 
manier verschillende computers dezelfde suf- 
fix kunnen hebben en toch een uniek adres 
behouden. Even verduidelijken: stel dat onze 
computer het IP-adres 192.153.0.1 heeft (het 
IP-adres van je computer kan je trouwens op- 
vragen door in een DOS-venster het com- 
mando IPCONFIG in te tikken). De eerste twee 
paren van acht bits (192 en 153) stellen bv. het 
fysieke netwerk van de Belgische overheid 
voor. Met de twee laatste paren (o en 1) ver- 
wijzen we naar één bepaalde computer bin- 
nenin dat netwerk. Waarom is er nu die on- 
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derverdeling? Wel, iedere computer moet op 
elk moment uniek geadresseerd zijn. Om dat 
te bereiken is er een overkoepelende organi- 
satie die zorgt dat elke netwerkprefix uniek is. 
Dat is de Internet Assigned Number Autho- 


rity [ www.iana.org |. Binnenin een bedrijf 
kan de netwerkbeheerder alle computers zelf 


een IP-adres kan toewijzen. Belangrijk is dat 
dit softwarematig gebeurt: je IP-adres heeft 
dus niks te maken met het soort computer dat 
je gebruikt. Nu begrijp je wellicht waarom je 
computer van een firewall voorzien moet zijn. 
Wie permanent met het internet verbonden 
is, beschikt over een vast IP-adres. Dat kan 
voor hackers een vuurtoren in de duisternis 
zijn. Er zijn namelijk programma’s die het net 
afstruinen enkel en alleen op zoek naar IP- 
adressen die niet door een firewall beschermd 
worden. Ook wie regelmatig inbelt, heeft baat 
bij een firewall, maar in dat geval verandert 
het IP-adres wel elke keer dat je inlogt. Dat 
maakt het voor potentiële inbrekers al wat 
moeilijker om je te traceren. 


Allemaal filters 


Allemaal goed en wel, maar hoe werkt een fi- 
rewall nu precies? We moeten verschillende 
soorten firewalls onderscheiden. Ten eerste 
is er de firewall die werkt met pakketfiltering. 
Dat is een programma dat op de router draait 
en door de netwerkbeheerder geconfigureerd 
wordt. De netwerkbeheerder stelt een aantal 
voorwaarden in en enkel indien het pakketje 
voldoet aan die voorwaarden wordt het door- 
gelaten. Enkel indien de filter het pakketje ex- 
pliciet toelaat én ook expliciet niet weigert, 
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OFF LINE 


OFF LINE 


Hoe werkt? 


wordt het doorgelaten. Zo kan bv. vastgelegd 
worden dat enkel e-mailverkeer toegelaten is 
of dat je enkel mag surfen. Een pakketfilter is 
de meest eenvoudige, maar ook de snelste 
soort firewall. Nadeel aan deze firewall is dat 
de inhoud van de datastroom niet gecontro- 
leerd wordt. Rechtstreeks verkeer tussen twee 
pc's is dus mogelijk. Een e-mail met een vi- 
rus wordt dus doorgelaten als mailen toege- 
staan is. 

Een application level firewall maakt gebruik 
van Network Address Translation [ www. 
webopedia.com/TERM/N/NAT.html J. Die tech- 
niek zorgt ervoor dat het voor de buitenwereld 
niet te achterhalen is van welke computer het 
verkeer afkomstig is. Dat heeft als voordeel 
dat informatie over het interne netwerk ver- 
borgen blijft. Jouw IP-adres is niet gekend 
door de ontvanger van je mail. Die krijgt het 
IP-adres van je router te zien. Een applica- 
tion-level-firewall zal meestal gebruik maken 
van proxy's. Een proxy is een programma op 
de router dat het verkeer voor één bepaalde 
service (bv. mailen, ftp, http…) controleert. 
Proxy's bevinden zich op de proxyserver. Ook 
hier is dus geen rechtstreeks verkeer tussen 
de interne en externe pc mogelijk. Al het ver- 
keer verloopt via de proxysoftware op de fire- 
wall. Hoe verloopt dat in de praktijk? Wel, 
jouw pc doet een communicatie-aanvraag bij 
je proxyserver. Die geeft de vraag door aan de 
proxyclient van het externe netwerk. Indien 
die proxyclient de vraag aanvaardt, wordt hij 
doorgegeven aan de pc op het externe netwerk. 
Dat is de pc die jij wil bereiken. 

Indien het proces in de omgekeerde richting 
verloopt, wisselen de client en server uiter- 
aard van rol. Wanneer voor een bepaalde 
dienst geen proxy te vinden is, wordt dat ver- 
keer niet toegelaten. Een application level fi- 
rewall kan ook data tegenhouden op basis van 
de inhoud. Zo kan de firewall alle Java-code 
weigeren. Dit is de veiligste firewall, maar ook 
het meest belastend voor het systeem. Er moet 
immers heel wat gecontroleerd worden voor- 
aleer het verkeer doorgelaten wordt. 


Dynamische filter 


De veiligheid van pakketfiltering kan verbe- 
terd worden door middel van dynamische pak- 
ketfiltering, ook wel Stateful Packet Filtering 
genoemd. Deze filtermethode houdt al het uit- 
gaande verkeer bij en laat enkel de corres- 
ponderende antwoorden toe. Aangezien elk 
datapakketje het IP-adres van de ontvanger 
bevat, kan de filter eenvoudig controleren of 
het antwoord afkomstig is van de pc die oor- 
sponkelijk geadresseerd werd. Deze vorm van 
beveiliging vraagt veel rekenwerk van de com- 
puter en is dan ook trager dan de (weliswaar 
minder veilige) statische pakketfilter. Dit is 
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een dynamische filter omdat de IP-adressen 
pas tijdens het proces gekend zijn. Dit in te- 
genstelling tot een statische filter, waar de fi- 
rewall in een vooraf vastgelegde tabel van toe- 
gelaten IP-adressen gaat kijken. 

Dan is er ook nog Stateful Packet Inspection 
(SPI). Die techniek kijkt of de inhoud van het 
als antwoord ontvangen pakketje wel over- 
eenkomt met de inhoud die verwacht wordt. 
Stel dat je een videoconferentie houdt, dan 
verwacht de firewall eveneens videobeelden 
als antwoord. Komt er dan (van hetzelfde IP- 
adres) een mailtje binnen, dan ruikt dat ver- 
dacht veel naar IP-spoofing. SPl is zeer krach- 
tig, maar duur en vergt veel van je systeem. 
Tot slot onderscheiden we ook nog de Em- 
bedded firewall. Dat is een netwerkkaartje met 
geïntegreerde firewall. 


Voor optimale beveiliging kan je een hardware- 
router installeren. 


Een andere mogelijkheid is een firewall in- 
stalleren op hardwareniveau. Zo’n router zorgt 
er ook voor dat al het verkeer sterk gecrypteerd 
wordt (zie ook Clickx 34). Beveiliging op hoog 
niveau dus. Daar moet wel stevig voor betaald 
worden. Zo moet je voor de 3Com SuperStack 
3 FireWall [ www.3com.be | € 3.700 neertel- 
len. Daarvoor heb je wel een optimale be- 
scherming en moet je geen pc meer aanko- 
pen die als firewall moet dienen. Deze fire- 
wall ondersteunt trouwens SPI. 


Hou het veilig 


Een veel voorkomende misvatting is dat een 
firewall een virusscanner overbodig maakt. 
Wanneer je computer al het verdachte verkeer 
tegenhoudt, is het toch niet nodig om de be- 
standen die er wél doorkomen — en dus per de- 
finitie veilig zijn — nog eens te gaan scannen? 
Eerst en vooral is geen enkele firewall water- 
dicht. Hackers zijn ook wel op de hoogte van 
de laatste soft- en hardwareontwikkelingen en 
vinden altijd wel een achterpoortje. Ten twee- 
de is het internet heus niet de enige versprei- 
der van virussen. Wie leent nooit eens een dis- 
kette of cd van een vriend of collega? Natuur- 
lijk vertrouwen wij onze beste vrienden, maar 
het kan best zijn dat hij je per ongeluk met een 
virus opzadelt. De boodschap mag duidelijk 
zijn: die scanner heb je nog steeds nodig! 

Wie zich nu realiseert dat hij helemaal geen 
firewall heeft en zijn systeem al aangevallen 
ziet worden door tientallen hackers, kunnen 
we wel geruststellen. Windows XP bevat stan- 
daard een firewall die je al heel wat bescher- 


ming biedt. Die firewall staat standaard ech- 
ter wel uitgeschakeld. Je kan die natuurlijk zelf 
activeren. Dat doe je via START, CONFIGURA- 
TIESCHERM en het pictogram NETWERKVERBIN- 
DINGEN. Rechtsklik op je internetverbinding 
en kies voor EIGENSCHAPPEN. Om de firewall te 
activeren moet je onder het tabblad GEAVAN- 
CEERD een vinkje zetten voor MIJN COMPUTER 
EN NETWERK BEVEILIGEN DOOR TOEGANG VANAF 
HET INTERNET TE BEPERKEN OF TE BLOKKEREN. 
Rechtsonderaan kan je via de knop INSTELLIN- 
GEN de firewall helemaal naar je hand stellen. 


d- Eigenschappen voor LAN-verbinding 2%) 


ni 
Algemeen | Verificatie, Geavanceerd 


Firewall voor Internet-verbindingen 


Mijn computer en netwerk beveiligen door toegang vanaf 
het Internet te beperken of te blokkeren 


Meer informatie over Firewall voor Intemnet-verbindingen. 


Gebruik de Wizard Netwerk instellen als u niet 
weet hoe u deze eigenschappen moet instellen. 


Instellingen.… 


Activeer de firewall in Windows XP. 


Heb je geen XP? Geen nood, op de site van 
ZoneAlarm [ www.zonelabs.com | kan je een 
goede én gratis firewall downloaden. Heb je 
na het lezen van dit artikel zin in méér, surf 
dan naar [ www.sans.org/rr/firewall | waar je 
heel wat wetenschappelijke artikels over fire- 
walls terugvindt. Ook Microsoft heeft op zijn 
website een aparte rubriek voor beveiliging 
voorzien. Op [ www.microsoft.com/security | 
vind je de laatste nieuwtjes over virussen, be- 
veiligingslekken en dergelijke. Een veilig sys- 
teem hebben is dan wel één zaak, het veilig 
houden is nog heel wat anders. Heb je een fi- 
rewall gekocht of geïnstalleerd en wil je we- 
ten of die wel werkt? In plaats van je IP-adres 
op het net te publiceren lijkt het ons beter 
ShieldsUp en LeakTest even uit te voeren. Bei- 
de kan je vinden op [ www.grc.com |. 
Tot slot: vertrouw altijd op je gezond verstand. 
Ga alsjeblieft niet in op een mailtje getiteld 
‘Klik hier om € 5.ooo te winnen’. Iemand die 
je via MSN een programma doorstuurt en je 
dat per se wil laten uitvoeren, is wellicht ook 
niet zo te betrouwen. Of een berichtje van je 
internetprovider die vertelt dat de server is ge- 
crasht. Of je snel even al je gegevens wil door- 
sturen? Wissen die rommel! En installeer een 
firewall. 

— Benjamin Carlier — 


